hitcon_2017_ssrfme
题目:
打开环境,得到:
<?php
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($sandbox);
@chdir($sandbox);
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));
$info = pathinfo($_GET["filename"]);
$dir = str_replace(".", "", basename($info["dirname"]));
@mkdir($dir);
@chdir($dir);
@file_put_contents(basename($info["basename"]), $data);
highlight_file(__FILE__);
接下来进行代码审计
首先先要弄清楚sandbox的位置,实际上就是sandbox/+MD5后的(orange与你的IP地址)
,这个IP地址直接在网上就能找到,手动进行MD5加密,访问sandbox/+(MD5加密后的值)得到:
这里有个注意事项,就是MD5加密后的是要为小写,而不是大写
这种情况就证明你的路径是对的,而如果出现NOT Found的话就是错的
接下来的代码就很简单了
pathinfo就是以数组的形式返回文件路径的信息
然后这一串代码就是写入文件的操作
file_put_contents(basename($info["basename"]), $data);
所以可以传入payloadurl=/&filename=yy
,访问yy即可
看到里面有个flag
所以可以构造?url=/flag&filename=yy
,访问:
?这一坨是个啥玩意儿???,不过这种方式应该是已经读取到了flag,但没有按正常方式显示罢了,那就试试将后面的yy改为以.txt
结尾的,payload:?url=/flag&filename=yy.txt
,访问得到: